Jak sprawdzić, czy faktycznie dzwoni do nas pracownik banku? Nie powinno być z tym problemu, jeśli połączenie inicjowane jest z oficjalnego numeru, czyli bankowej infolinii. A jeśli dzwoni ktoś z nieznanego numeru komórkowego? To może być pracownik banku, ale równie dobrze oszust, który w tym kanale będzie próbował wyłudzić nasze dane. Takie oszustwo to vishing. Jak się przed nim chronić?
Dostaliście kiedyś telefon z banku, ale z numeru, którego próżno szukać na stronie internetowej? Do mnie bankowcy regularnie dzwonią z jednego numeru komórkowego. W końcu dodałem ten numer do kontaktów, bo upewniłem się, że dzwoni do mnie doradca z oddziału banku, który zwykle chce mnie namówić na jakieś „bankowe rozwiązania”. A sprawdziłem to w ten sposób: poprosiłem o przesłanie mailem omówionego podczas rozmowy „rozwiązania”. Mogłem sprawdzić, czy adres mailowy należał do banku, a w stopce mojego rozmówcy podany był ów numer telefonu.
- Zastanawialiście się kiedyś, ile śladu węglowego generuje Wasza firma? Warto wiedzieć, bo coraz częściej mogą Was o to pytać. Jak policzyć swój ślad? [POWERED BY BANK PEKAO]
- Na jaki procent założyć lokatę, żeby ochronić swoje pieniądze przed inflacją? Trzy kroki [POWERED BY RAISIN]
- Polska na ścieżce inwestycji, Europa na ścieżce konfrontacji. Dr Ernest Pytlarczyk o deglobalizacji [POWERED BY BANK PEKAO]
Ale gdybym tego nie zrobił, to nie miałbym pewności, że faktycznie dzwonią do mnie z banku. Wykonywanie połączeń z „dziwnych”, czyli nieznanych numerów, to nie tylko praktyka banków. Częściej zdarza mi się odebrać taki telefon od operatorów telekomunikacyjnych.
Żyjemy w świecie pełnym oszustów, którzy próbują wykorzystać naszą słabość, naiwność czy brak wystarczającej wiedzy, żeby dobrać się do naszych bankowych kont. Odpowiednio zmanipulowani potrafimy podać złodziejom na tacy dane, które pozwolą im wyczyścić nasze konto albo wyłudzić kredyt na nasze dane osobowe. Banki przypominają, że nigdy nie proszą o podanie loginów, haseł, kodów PIN, uczulają nas na to, by sprawdzać, czy faktycznie korzystamy ze strony internetowej banku, a nie z fałszywki do złudzenia podobnej do oryginału. A jak te bezpieczniki wyglądają w przypadku telefonów z banków?
Dziwny numer telefonu: czy to bank, czy vishing?
Kiedy chcemy skontaktować się z bankiem telefonicznie, na stronie internetowej podane są oficjalne numery infolinii. Zwykle kilka, w zależności od tego, w jakiej sprawie dzwonimy, z numeru komórkowego czy stacjonarnego. Ale gdy dzwoni do nas bank, nie zawsze wyświetlą się numery podane na stronie. Niedawno połączenie z takiego nieznanego numeru telefonu odebrał pan Wiktor, klient Santander Banku. I od razu wydało mu się ono podejrzane.
„Dziś o godzinie 11:01 z numeru (…) dzwonił ktoś podając się za pracownika banku podając moje imię i nazwisko, prosząc o datę urodzenia! Oczywiście odmówiłem rozmowy, bo numer nie widnieje na stronie banku. Takie dane niestety można znaleźć na stronie KRS lub Ewidencji DG, czyli w publicznych rejestrach. Gratuluję bankowi polityki bezpieczeństwa – powinno być jakieś dedykowane hasło oraz numer, z którego dzwoni pracownik banku, powinien być tym ze strony. Nie dotyczy to tylko banku Santander”
– napisał pan Wiktor. Ale kilka dni później sytuacja się powtórzyła, tyle że bank dzwonił z innego numeru komórkowego. Tym razem pan Wiktor postanowił porozmawiać.
„Sympatyczny pan. Zapytałem go czy jeśli faktycznie dzwoni z banku, to czy może zaprezentować się numerem widniejącym na stronie banku. Po minucie ten sam pan zadzwonił do mnie z numeru, który figuruje na stronie banku. Czy to jest takie trudne, by w dobie podszywania się oszustów pod banki, dzwonić z jednego, znanego klientowi numeru?”
Dlaczego bank dzwoni z nieznanego numeru. To bank czy vishing?
Pracownik banku najpierw zadzwonił z nieznanego numeru, podwyższając mojemu czytelnikowi ciśnienie. Ale po chwili bez problemu zadzwonił z oficjalnego numeru. Czy nie można było tak od razu? Poprosiłem bank o wyjaśnienie tej sytuacji oraz o wytłumaczenie, jak działają „telefoniczne procedury”: dlaczego raz dostajemy telefon z oficjalnego numeru, a innym razem z nieznanego numeru komórkowego? I co klient powinien zrobić, jeśli ma wątpliwości, czy faktycznie rozmawia z bankowcem? Santander nie mógł odnieść się do konkretnej sprawy, bo obowiązuje go tajemnica bankowa.
Z informacji, jakie uzyskałem, wynika, że połączenia z „nieoficjalnych” numerów komórkowych pochodziły z działu banku zajmującego się… windykacją. Taki telefon jest kolejnym elementem procesu windykacyjnego, jeśli inne działania nie przynoszą rezultatu. Z reguły klient zalegający ze spłatą w pierwszej kolejności powinien otrzymać wiadomość SMS, później e-maila z przypomnieniem oraz wiadomość w bankowości elektronicznej, w której wskazywane są numery telefonów do kontaktu. Jeśli te metody okażą się nieskuteczne, bank sięga po telefon. Dzwoni doradca lub automatyczny system komunikacji.
Przeczytaj też: Chargeback jest dla oszukanych, którzy zapłacili kartą. Czy oszukanym, którzy zapłacili przelewem, mogą pomóc przepisy o „omyłkowym przelewie”?
Podaj przez telefon swoje dane, bo nie zrobisz przelewu
I tu dochodzimy do sedna używania przez bank różnych numerów telefonów. Klienci, którzy mają coś za uszami, mogą po prostu nie odbierać, a nawet blokować oficjalne, znane numery banku. Wygląda więc na to, że jest to próba przechytrzenia migającego się od spłaty kredytu klienta. Nie zmienia to jednak faktu, że każdy może poczuć się zagrożony odbierając połączenie z nieznanego numeru, zwłaszcza że proszony jest o podanie wrażliwych danych. Bank tłumaczy, że jest to niezbędne, bo przekazywane w rozmowie informacje są poufne, musi więc mieć pewność z kim rozmawia. Dlatego prosi o minimum danych, czyli imię, nazwisko oraz datę urodzenia.
„Forma autentykacji polega na pozyskaniu niewielu i bardzo podstawowych informacji, a nie całych sekwencji i pełnych danych identyfikacyjnych, co mogłoby budzić obawy przed podawaniem tak wielu danych i lęk, że nieznana osoba podszywa się pod bank”
– wyjaśnia Santander i zapewnia, że połączenie z „nieoficjalnego” numeru wykonywane jest w wyjątkowych sytuacjach, kiedy już zawiodą inne działania monitorujące. Ale czy taką wyjątkową sytuacją była ta, która spotkała niedawno pana Krzysztofa? Kilka dni temu nasz czytelnik za pośrednictwem bankowości elektronicznej PKO BP chciał zlecić przelew na ok 50.000 zł. Operacja została autoryzowana dodatkowo w aplikacji mobilnej. Został on jednak wytypowany do dodatkowej weryfikacji… telefonicznej. Jak to wyglądało?
„Dodatkowa weryfikacja, którą bank oczywiście tłumaczy ochroną klienta, polega na tym, że osoba podająca się za pracownika banku – nie mam jak zweryfikować czy to faktycznie pracownik PKO – dzwoni na moją komórkę i zaczyna od szeregu pytań o moje dane osobowe. Drugie imię, miejsce urodzenia to pytania, na które nie mam ochoty odpowiadać przez telefon dzwoniący do mnie. Smaczku dodaje fakt, że ta osoba ta mówiła ze wschodnim akcentem.”
Pan Krzysztof się rozłączył, anulował przelew i zlecił go ponownie. Ale sytuacja się powtórzyła, a więc operacja musiała przejść dodatkową – telefoniczną – weryfikację. Tym razem jednak pan Krzysztof proszony o podanie swoich danych osobowych, zapytał, jak może zweryfikować osobę siedzącą po drugiej stronie. Konsultantka zaproponowała klientowi, by zapisał jej imię i nazwisko, zadzwonił na infolinię i zapytał, czy faktycznie pracuje w banku.
Ale to nie przekonało pana Krzysztofa, bo przecież osoba o takim imieniu i nazwisku może pracować w banku, ale skąd ma wiedzieć, że akurat to ona do niego dzwoniła. Ostatecznie panu Krzysztofowi udało się – za pośrednictwem infolinii – autoryzować przelew. Pozostał niesmak, bo w jego ocenie, dodatkowa, telefoniczna weryfikacja raczej obniża, a nie zwiększa poczucie bezpieczeństwa.
Telefon z banku albo atak typu vishing
Czy obawy klientów o to, że ktoś może podszywać się pod pracowników banków są przesadzone? Bynajmniej. Zresztą wspomniany Santander Bank na swojej stronie internetowej informuje i ostrzega przez zjawiskiem określane jako vishing:
„Przestępcy dzwonią do naszych klientów i podszywają się pod pracowników banku. Zachowaj czujność, to atak typu vishing, czyli próba wyłudzenia poufnych danych przez rozmowę telefoniczną”
– informuje bank na stronie internetowej. Z grubsza vishing polega na tym, iż do klienta dzwoni osoba, która przedstawia się jako pracownik banku. Informuje, że na rachunku dzieje się coś złego i często prosi o zainstalowanie dodatkowego oprogramowania, które pomoże w rozwiązaniu problemu. W rzeczywistości przestępca przejmuje kontrolę nad telefonem, a kolejnym krokiem ataku vishingowego jest próba wyłudzenia loginu i hasła do bankowości internetowej i mobilnej. Rzecz jasna banki nigdy nie poproszą o instalację dodatkowego oprogramowania. W takiej sytuacji najlepiej się rozłączyć i o zdarzeniu poinformować bank, za pośrednictwem oficjalnej infolinii.
Co zatem robić? Jeśli zadzwoni do was ktoś z banku, ale nie macie stuprocentowej pewności, z kim rozmawiacie, można zrobić tak, jak pan Wiktor, a więc poprosić bankowego rozmówcę, by zadzwonił z oficjalnego numeru. Można też zadzwonić na numer oficjalnej infolinii i tam zweryfikować, czy połączenie z „nieznanego” numeru było inicjowane przez bank, jak również czy osoba, która podała się za pracownika banku, faktycznie w tym banku pracuje. A najlepiej, gdyby na infolinii potwierdzili nie tylko, że dzwonił do nas pracownik banku, ale też w jakiej sprawie. Wtedy na pewno nie natniemy się na vishing.
